今天的文章不是要普及在线循环是什么，而是关于我个人遇到的循环事故。如何快速找到问题点，使用哪些工具以及如何检查订单。我将记录整个过程。我希望它能带给您一些灵感。

那天早上的9:20左右，当我进入办公室时，电话不断响起：

“网络磁盘已关闭，无法连接”，“视频会议已删除并连接”，“无法打开OA系统”，登录到核心开关，您会发现一个例外：

CPU高达98，并且继续跳跃。所有上行链路交通浪潮，尤其是广播比例都很高；远程管理端口几乎无法控制，并且响应延迟是严重的。简单的判断：循环很可能会导致广播风暴。但是，网络拓扑太大，有一百多个访问开关，因此我们必须立即采取措施来缩小调查范围。

第一步：广播风暴定位法，先看“哪边烧得旺”

使用的第一个工具是基于Netdata + Prometheus + Grafana的我们自己构建的视觉监控面板。

我直接打开“广播交通电量地图”，我们通常盯着这张照片，当异常时我们可以立即看到它：

办公楼的3F至5F的广播流量明显高于其他建筑物；上行链路的即将到来的流量飙升至800Mbps，是日常生活的10倍；同时，ARP请求的数量也大大增加，几乎是普通百姓的4倍。锁定区域：3号建筑物三楼的异常访问水平。

第二步：MAC地址漂移分析，找出风暴源头口

i登录到访问开关并使用命令检查MAC地址表：

显示Mac-Address |包括动态发现了一个非常奇怪的现象：

相同的MAC地址在不同端口之间保持“跳跃”；某个端口（例如GigabitEthernet 0/0/5）在短时间内学习了数十个不同的Mac； MAC表刷新频率极高，这意味着此端口中的数据是“浮动”的。这是一个典型的第二层环路现象：广播数据包来自一个端口并循环返回。

让我们去看看端口连接设备：这是一个小的五端口开关，应该是临时设备。

第三步：验证 + 隔离 + 复测

我在楼上派我的同事们在现场检查。果然，在会议室里发现了“罪魁祸首”：

一名员工带来的五端口开关，两条网络电缆连接到会议室墙上的两个信息插座。在这两个信息端口的后面，两个不同的访问开关仅相互连接。因此——循环像这样关闭。电源立即被切断，线被拔掉，会议室立即从“风暴中心”退休。

回到计算机房：

广播流量很快下降了； CPU从98降至约20；网络细分恢复正常，所有业务系统逐渐启动。

后续措施：别等第二次才做这几件事

开启接入口的Storm Control（广播风暴抑制）

我们最初仅在核心设备上有速度限制，但我们忘了打开访问层。事件发生后，我们组成了以下所有内容：

接口GigabitEthernet0/0/X风暴控制CIR 512风暴对照动作关闭

启用端口安全策略 + 禁止私接交换设备

与802.1X和MAC结合政策结合使用，设备与访问端口隔离并隔离：

最多只允许1个MAC地址；如果超过限制，它将被警告，禁用或转移到孤立的VLAN中；如果它私下连接到开关？自动踢出网络。

加上LLDP邻居检测

如果设备打开了LLDP/CDP，则实际上可以预先识别“异常连接结构”：

显示LLDP邻居一旦发现端口后面是另一个开关设备（并且该端口未经我们授权），它可以提前进行干预。

总结这次经历，我学到了这几点：

广播风暴并不难定位，但需要可视化监视图和实时发现异常。 MAC漂移是一个非常关键的线索，比捕获数据包更有效。循环的罪魁祸首通常是“您无法想象的地方” ——不是计算机室或数据中心，而是清洁工使用的最边缘会议室，相机，甚至是网络插座；事先配置“保护网络”是最重要的，它比以后做出响应更为重要。

最后建议：排查顺序建议照这样来走（我自己总结的实战路径）

步骤1：检查核心设备CPU和广播流量，是否有全局例外

步骤2：检查上行链路流量，是否有例外

步骤3：切换到可疑访问开关，并检查端口流量+ Mac漂移状态

步骤4：锁定可疑端口，断开/隔离测试，看看是否还原网络

步骤5：网站上的物理调查/查询并找出源设备

建议将此方法作为手册制备并张贴在计算机室墙上。如果确实发生了什么事，您将失去头发。